将复制控制平面迁移到使用云控制器管理器
cloud-controller-manager 是一个 Kubernetes 控制平面 组件,它嵌入了特定于云的控制逻辑。云控制器管理器允许你将集群链接到云提供商的 API,并将与该云平台交互的组件与仅与集群交互的组件分离开来。
通过解耦 Kubernetes 与底层云基础设施之间的互操作性逻辑,云控制器管理器组件使云提供商能够以与 Kubernetes 主项目不同的速度发布特性。
背景
作为 云提供商提取工作 的一部分,所有特定于云的控制器都必须从 kube-controller-manager 中移出。所有在 kube-controller-manager 中运行云控制器的现有集群都必须迁移到在特定于云提供商的 cloud-controller-manager 中运行这些控制器。
Leader Migration 提供了一种机制,在这种机制中,HA 集群可以在升级复制的控制平面时,通过两个组件之间共享的资源锁,安全地将“云特定”控制器在 kube-controller-manager 和 cloud-controller-manager 之间迁移。对于单节点控制平面,或者如果升级期间可以容忍控制器管理器不可用,则不需要 Leader Migration,可以忽略本指南。
可以通过在 kube-controller-manager 或 cloud-controller-manager 上设置 --enable-leader-migration 来启用 Leader Migration。Leader Migration 仅在升级期间适用,并且在升级完成后可以安全地禁用或保持启用状态。
本指南将引导你完成手动升级控制平面的过程,从使用内置云提供商的 kube-controller-manager 迁移到同时运行 kube-controller-manager 和 cloud-controller-manager。如果你使用工具部署和管理集群,请参阅该工具和云提供商的文档以获取具体的迁移说明。
准备工作
假定控制平面正在运行 Kubernetes 版本 N 并将升级到版本 N + 1。尽管可以在相同版本内进行迁移,但理想情况下,迁移应作为升级的一部分进行,以便配置更改可以与每个版本保持一致。N 和 N + 1 的确切版本取决于每个云提供商。例如,如果云提供商构建了一个 cloud-controller-manager 以与 Kubernetes 1.24 配合使用,则 N 可以是 1.23,N + 1 可以是 1.24。
控制平面节点应运行启用 Leader Election 的 kube-controller-manager,这是默认设置。从版本 N 开始,必须使用 --cloud-provider 标志设置内置云提供商,并且不应部署 cloud-controller-manager。
外部云提供商必须已构建了具有 Leader Migration 实现的 cloud-controller-manager。如果云提供商导入了版本 v0.21.0 或更高版本的 k8s.io/cloud-provider 和 k8s.io/controller-manager,则 Leader Migration 将可用。但是,对于 v0.22.0 之前的版本,Leader Migration 是 alpha 功能,需要启用 cloud-controller-manager 中的功能门 ControllerManagerLeaderMigration。
本指南假定每个控制平面节点的 kubelet 通过其清单启动 kube-controller-manager 和 cloud-controller-manager 作为静态 Pod。如果组件在不同的设置中运行,请相应地调整步骤。
对于授权,本指南假定集群使用 RBAC。如果其他授权模式授予 kube-controller-manager 和 cloud-controller-manager 组件权限,请以与该模式匹配的方式授予所需的访问权限。
授予迁移租约访问权限
控制器管理器的默认权限仅允许访问其主租约。为了使迁移正常工作,需要访问另一个租约。
通过修改 system::leader-locking-kube-controller-manager 角色,可以授予 kube-controller-manager 对租约 API 的完全访问权限。本任务指南假定迁移租约的名称为 cloud-provider-extraction-migration。
kubectl patch -n kube-system role 'system::leader-locking-kube-controller-manager' -p '{"rules": [ {"apiGroups":[ "coordination.k8s.io"], "resources": ["leases"], "resourceNames": ["cloud-provider-extraction-migration"], "verbs": ["create", "list", "get", "update"] } ]}' --type=merge`
对 system::leader-locking-cloud-controller-manager 角色执行相同的操作。
kubectl patch -n kube-system role 'system::leader-locking-cloud-controller-manager' -p '{"rules": [ {"apiGroups":[ "coordination.k8s.io"], "resources": ["leases"], "resourceNames": ["cloud-provider-extraction-migration"], "verbs": ["create", "list", "get", "update"] } ]}' --type=merge`
初始领导者迁移配置
领导者迁移可选地采用一个表示控制器到管理器分配状态的配置文件。目前,在内置云提供商中,kube-controller-manager 运行 route、service 和 cloud-node-lifecycle。以下示例配置显示了分配情况。
无需配置即可启用领导者迁移。有关详细信息,请参阅默认配置。
kind: LeaderMigrationConfiguration
apiVersion: controllermanager.config.k8s.io/v1
leaderName: cloud-provider-extraction-migration
resourceLock: leases
controllerLeaders:
- name: route
component: kube-controller-manager
- name: service
component: kube-controller-manager
- name: cloud-node-lifecycle
component: kube-controller-manager
或者,由于控制器可以在任一控制器管理器下运行,因此将两边的 component 都设置为 * 可以使配置文件在迁移的两方之间保持一致。
# wildcard version
kind: LeaderMigrationConfiguration
apiVersion: controllermanager.config.k8s.io/v1
leaderName: cloud-provider-extraction-migration
resourceLock: leases
controllerLeaders:
- name: route
component: *
- name: service
component: *
- name: cloud-node-lifecycle
component: *
在每个控制平面节点上,将内容保存到 /etc/leadermigration.conf,并更新 kube-controller-manager 的清单,以便该文件以相同位置挂载到容器内部。此外,更新相同的清单以添加以下参数:
--enable-leader-migration启用控制器管理器上的 Leader Migration--leader-migration-config=/etc/leadermigration.conf设置配置文件
重新启动每个节点上的 kube-controller-manager。此时,kube-controller-manager 已启用领导者迁移并已准备好进行迁移。
部署云控制器管理器
在版本 N + 1 中,控制器到管理器的理想分配状态可以通过一个新的配置文件表示,如下所示。请注意,每个 controllerLeaders 的 component 字段从 kube-controller-manager 更改为 cloud-controller-manager。或者,可以使用上面提到的通配符版本,效果相同。
kind: LeaderMigrationConfiguration
apiVersion: controllermanager.config.k8s.io/v1
leaderName: cloud-provider-extraction-migration
resourceLock: leases
controllerLeaders:
- name: route
component: cloud-controller-manager
- name: service
component: cloud-controller-manager
- name: cloud-node-lifecycle
component: cloud-controller-manager
创建版本 N + 1 的控制平面节点时,内容应部署到 /etc/leadermigration.conf。cloud-controller-manager 的清单应更新,以与版本 N 的 kube-controller-manager 相同的方式挂载配置文件。同样,将 --enable-leader-migration 和 --leader-migration-config=/etc/leadermigration.conf 添加到 cloud-controller-manager 的参数中。
创建一个版本 N + 1 的新控制平面节点,其中包含更新后的 cloud-controller-manager 清单,并且 kube-controller-manager 的 --cloud-provider 标志设置为 external。版本 N + 1 的 kube-controller-manager **不得**启用 Leader Migration,因为对于外部云提供商,它不再运行已迁移的控制器,因此不参与迁移。
请参阅云控制器管理器管理以获取有关如何部署 cloud-controller-manager 的更多详细信息。
升级控制平面
控制平面现在包含版本 N 和 N + 1 的节点。版本 N 的节点只运行 kube-controller-manager,而版本 N + 1 的节点同时运行 kube-controller-manager 和 cloud-controller-manager。根据控制器管理器持有迁移租约的情况,配置中指定的已迁移控制器在版本 N 的 kube-controller-manager 或版本 N + 1 的 cloud-controller-manager 下运行。在任何时候,都不会有控制器同时在两个控制器管理器下运行。
以滚动方式,创建一个版本 N + 1 的新控制平面节点,并关闭一个版本 N 的节点,直到控制平面只包含版本 N + 1 的节点。如果需要从版本 N + 1 回滚到 N,则将启用 Leader Migration 的版本 N 节点(针对 kube-controller-manager)重新添加到控制平面,每次替换一个版本 N + 1 的节点,直到只剩下版本 N 的节点。
(可选) 禁用领导者迁移
现在控制平面已升级为运行版本 N + 1 的 kube-controller-manager 和 cloud-controller-manager,领导者迁移已完成其工作,可以安全地禁用以节省一个租约资源。将来为了回滚而重新启用领导者迁移是安全的。
在滚动管理器中,更新 cloud-controller-manager 的清单以取消设置 --enable-leader-migration 和 --leader-migration-config= 标志,同时移除 /etc/leadermigration.conf 的挂载,最后移除 /etc/leadermigration.conf。要重新启用领导者迁移,请重新创建配置文件并添加其挂载以及启用领导者迁移的标志到 cloud-controller-manager 中。
默认配置
从 Kubernetes 1.22 开始,领导者迁移提供了适用于默认控制器到管理器分配的默认配置。可以通过设置 --enable-leader-migration 但不带 --leader-migration-config= 来启用默认配置。
对于 kube-controller-manager 和 cloud-controller-manager,如果没有启用任何内置云提供商或更改控制器所有权的标志,则可以使用默认配置以避免手动创建配置文件。
特殊情况:迁移 Node IPAM 控制器
如果你的云提供商提供了 Node IPAM 控制器的实现,则应切换到 cloud-controller-manager 中的实现。通过向版本 N + 1 的 kube-controller-manager 的标志中添加 --controllers=*,-nodeipam 来禁用 Node IPAM 控制器。然后将 nodeipam 添加到已迁移控制器列表中。
# wildcard version, with nodeipam
kind: LeaderMigrationConfiguration
apiVersion: controllermanager.config.k8s.io/v1
leaderName: cloud-provider-extraction-migration
resourceLock: leases
controllerLeaders:
- name: route
component: *
- name: service
component: *
- name: cloud-node-lifecycle
component: *
- name: nodeipam
- component: *
下一步
- 阅读 控制器管理器领导者迁移 增强提案。